5 rokov GDPR: Vnútroštátne orgány sklamali európskeho zákonodarcu

5 rokov GDPR: Národné orgány sklamali európskeho zákonodarcu. 85 % prípadov noyb nebolo rozhodnutých.

Dňa 25. mája 2018 nadobudlo účinnosť nariadenie GDPR. Zatiaľ čo obsah pravidiel EÚ o ochrane údajov zostal do veľkej miery rovnaký, údajnou veľkou zmenou bolo prísne presadzovanie GDPR. o 5 rokov neskôr vnútroštátne orgány a súdy vo veľkej miere nechávajú európskeho zákonodarcu na holičkách - napriek rozpočtu vo výške viac ako 330 miliónov EUR v roku 2022.

noyb poskytuje pri príležitosti 5. výročia nasledujúce zdroje:

• Podrobné informácie: údaje o vyše 800 prípadoch GDPR, ktoré viedla spoločnosť noyb, z ktorých vyplýva, že o viac ako 85 % všetkých prípadov noyb nie je rozhodnuté - 470 sťažností čaká na rozhodnutie už viac ako 1,5 roka
• noyb's "Mapa pascí GDPR" s mnohými vnútroštátnymi procesnými záležitosťami, na ktoré sa dá kliknúť
• "Profily krajín" s konkrétnymi problémami v Rakúsko, Belgicko, Francúzsko, Nemecko, Grécko (SK/ GR), Írsko, Taliansko, Luxembursko, Holandsko (SK/ NL), Poľsko a Španielsko
• Naše webové stránky s návrh nariadenia o postupoch GDPR ktoré by mohlo vyriešiť mnohé problémy s presadzovaním nariadenia GDPR

Meta pokuty vo výške 1,2 miliardy eur je príkladom nefungujúceho presadzovania. Hoci pokuta vo výške 1,2 miliardy EUR (ktorá bola strategicky odložená na týždeň "päťročnice GDPR") môže zaujať na titulných stránkach novín, v skutočnosti odráža nefungujúce presadzovanie. Nielenže trvalo viac ako desať rokov, kým orgán DPC vydal prvé rozhodnutie (proti ktorému sa teraz odvolá), ale prípad si vyžadoval aj to, aby Max Schrems viedol tri súbory súdnych sporov proti írskemu orgánu DPC, aby ho prinútil robiť svoju prácu. To zahŕňalo Súdny dvor EÚ (SDEÚ) a EDPB, ktoré írskemu DPC trikrát povedali, aby účinne riešil prípad. Náklady na tento súdny spor sa odhadujú na viac ako 10 miliónov EUR.

Stret právnych predpisov EÚ s vnútroštátnou praxou. Nariadenie GDPR bolo v Európskom parlamente prijaté 96 % väčšinou, pričom tento zákon podporili všetky členské štáty okrem jedného. Krátko na to však narazili vnútroštátni zákonodarcovia a vnútroštátna prax. Takmer každý členský štát má nejaký procesný trik alebo problém, ktorý GDPR oslabuje. Od pridávania pojmov, ako je "prah" pre porušenie ochrany osobných údajov, až po názor, že "vybaviť" sťažnosť môže znamenať aj jednoducho ju zahodiť do koša. Medzi ďalšie príklady patrí to, že orgány vo Francúzsku alebo Švédsku zastávajú názor, že sťažovateľ nie je účastníkom ich vlastného konania, zatiaľ čo v Poľsku orgán vyžaduje, aby ste cestovali do Varšavy a odfotili si svoj spis mobilným telefónom. Prehľad sme spracovali v našom "Mapa pascí GDPR", aby sme ukázali niektoré pasce, do ktorých sa bežní občania dostávajú.

Max Schrems, predseda noyb.eu: "Nariadenie GDPR malo veľmi silnú politickú podporu. Po piatich rokoch od zavedenia GDPR vidíme veľký odpor úradov a súdov pri presadzovaní zákona. Zákonodarca sa vyjadril, ale vnútroštátne súdy a orgány neustále nachádzajú nové spôsoby, ako ho nepočúvať. Často sa zdá, že viac energie sa vynakladá na oslabovanie GDPR než na jeho dodržiavanie. Zatiaľ čo spoločnosti vedia, že Írsko je jurisdikciou, do ktorej sa "chodí" v prípade nevymáhania, pre občanov sotva existuje jurisdikcia, do ktorej sa "chodí", keďže problémy s presadzovaním sa vyskytujú v podstate vo všetkých členských štátoch. "

Systematické oneskorenia. Zatiaľ čo výnimočná pokuta zaujme na titulných stranách medzinárodných novín, oveľa rozsiahlejšia databáza prípadov noybukazuje, že orgány na ochranu údajov (OOÚ) zväčša nevymáhajú GDPR včas. Z viac ako 800 prípadov, ktoré noyb podal v minulom roku, 85,9 % nie je rozhodnutých a viac ako 58 % čaká na rozhodnutie viac ako 18 mesiacov. nariadenie GDPR však vyžaduje, aby spoločnosti vyhoveli žiadostiam do jedného mesiaca, a vnútroštátne právne predpisy, ktoré často vyžadujú rozhodnutia do 3 až 6 mesiacov.

Max Schrems: "V mnohých jurisdikciách dostanete rozhodnutie v najlepšom prípade po dvoch rokoch - teda ak vôbec dostanete rozhodnutie. Táto prax je jednoducho na míle vzdialená od zámeru zákonodarcu mať voľný a jednoduchý spôsob podávania sťažností. Väčšinu času strácame naháňaním správcov prípadov, spisov a úradov."

Nedostatok správnych postupov a právnych rozhodnutí. Okrem dlhých prieťahov boli prípady, ktoré boli uzavreté, zväčša urovnané alebo stiahnuté stranami (približne 6 % v prípade spoločnosti noyb) alebo došlo k inému výsledku (3,4 %), ako napríklad odchod spoločnosti z trhu EÚ. Iba v 3,9 % všetkých prípadov došlo k právnemu rozhodnutiu orgánu pre ochranu údajov.

Max Schrems: "Mnohé orgány sa snažia urobiť všetko pre to, aby sa vyhli rozhodnutiu. Často prípady jednoducho 'uzavrú' bez rozhodnutia alebo rokujú so spoločnosťami a prosia ich, aby boli také milé a dodržiavali zákon. Za priame porušenie zákona sotva hrozí priama sankcia."

Spoločnosti sa naučili ignorovať nariadenie GDPR. Hoci priemysel spočiatku hádzal flintu do žita v súvislosti s nariadením GDPR a jeho vysokými pokutami, uplynulé roky ukázali, že tento odstrašujúci účinok sa rýchlo zmyl. Realita ukazuje, že zákonodarca nedokázal jednoducho uzákoniť kultúru presadzovania práva. GDPR sa často stalo len papierovým tigrom.

Max Schrems: "Realita ukázala, že EÚ nebola schopná uzákoniť "kultúru presadzovania". Agresívnejšie spoločnosti rýchlo pochopili, že dôsledky existujú zväčša len na papieri, a pokračovali vo svojich obchodných modeloch. Za zatvorenými dverami spoločnosti veľmi otvorene hovoria o tom, že sa orgánov vôbec neboja. Do dodržiavania predpisov investovali najmä už rozumné spoločnosti."

Výzva na harmonizáciu a presadzovanie. Pri príležitosti 5. výročia prijatia nariadenia GDPR je naliehavo potrebné, aby orgány preradili na inú rýchlosť a prešli na serióznu kultúru presadzovania. K tomu by mohol prispieť aj nápad Európskej komisie prijať procesné nariadenie EÚ. Avšak, takéto legislatívne riešenie by muselo byť komplexné na prekonanie mnohých problémov v súčasných postupoch. Mnohé členské štáty môžu tiež zlepšiť svoje postupy. Uviedli sme najčastejšie problémy v konkrétnych krajinách: Rakúsko, Belgicko, Francúzsko, Nemecko, Grécko (SK/ GR),Írsko, Taliansko, Luxembursko, Holandsko (SK/ NL),Poľsko a Španielsko.

Max Schrems: "Po piatich rokoch sa čas usmerňovania a odkladov jednoznačne skončil. Ak nebude existovať všeobecné odstrašenie, orgány pravdepodobne opäť stratia kontrolu nad situáciou. Európska komisia navrhla nové nariadenie, ktoré má vyriešiť procedurálne otázky. Jasné procesné pravidlá sú dobrá myšlienka, ale musia byť komplexné, aby sa problém skutočne vyriešil."

Potrebné občianskoprávne konanie a kolektívne odškodnenie. Len v roku 2023 boli spoločnosti Meta v dôsledku usilovného úsilia a právnych krokov noyb uložené pokuty vo výške takmer 2 miliardy EUR, takže občianskoprávne žaloby sú aktuálnejšie ako kedykoľvek predtým. S blížiacim sa zavedením smernice EÚ o kolektívnom odškodnení budú mať používatelia možnosť zoskupiť svoje úsilie v súdnych sporoch prostredníctvom spoločných "hromadných žalôb". Týmto prístupom sa nielen obchádza spoliehanie sa na dohody o ochrane údajov, ale má aj potenciál dosiahnuť účinnejší odstrašujúci účinok ako Pokuty podľa GDPR, ktoré sú zväčša teoretické.